現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2011-47

Mozilla Foundation セキュリティアドバイザリ 2011-47

タイトル: Shift-JIS を用いた潜在的な XSS 攻撃
重要度:
公開日: 2011/11/08
報告者: Yosuke Hasegawa
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 8.0
  Firefox 3.6.24
  Thunderbird 8.0
  Thunderbird 3.1.16
  SeaMonkey 2.5

概要

Mozilla のブラウザエンジンが Shift-JIS 文字エンコーディングにおける不正なシーケンスを適切に処理していないことが、Yosuke Hasegawa 氏によって報告されました。不正なペアに遭遇すると、2 バイトシーケンス全体をひとつの不明な文字に変えてしまっていました。本来は、不明な文字とそれに続く正しいシングルバイト文字の組み合わせになるべきでした。一部のサイトでは、攻撃者が 2 バイトシーケンスの 1 バイト目で入力を終わらせることが可能と思われます。その入力内容がページに記載されると、後に続く区切り文字 (ダブルクオートなど) が破壊されて、ページのフォーマットが崩れてしまう恐れがありました。ページによっては、この問題がデータの抜き出しやスクリプト注入に利用される潜在的な可能性がありました。

参考資料